Nastavenie umožňuje šifrovanie pomocou Nginx na Ubuntu 16.04

Let's Encrypt je certifikačná autorita (CA), ktorá poskytuje bezplatné certifikáty SSL s automatizovaným klientom. Pomocou certifikátu Let's Encrypt SSL môžete šifrovať návštevnosť medzi vašou webovou stránkou a vašimi návštevníkmi. Celý proces je jednoduchý a obnovy môžu byť automatizované. Upozorňujeme tiež, že inštalácia alebo obnova certifikátov nespôsobuje žiadne prestoje.

V tomto návode použijeme Certbot na získanie, inštaláciu a automatické obnovenie vášho certifikátu SSL. Certbot aktívne vyvíja nadácia Electronic Frontier Foundation (EFF) a je to odporúčaný klient pre Let's Encrypt.

Predpoklady

• Inštancia Vultr so systémom Ubuntu 16.04
• Registrovaný názov domény smerujúci na váš server
• Nginx

Nainštalujte Certbot

Ak chcete získať certifikát Let's Encrypt SSL, musíte si na server nainštalovať klienta Certbot.

Pridajte úložisko. Po ENTERvýzve na prijatie stlačte kláves.

add-apt-repository ppa:certbot/certbot

Aktualizujte zoznam balíkov.

apt-get update

Pokračujte inštaláciou Certbota a Certbotovho balíka Nginx.

apt-get -y install python-certbot-nginx

Konfigurácia Nginx

Certbot automaticky nakonfiguruje SSL pre Nginx, ale na to musí nájsť blok servera vo vašom konfiguračnom súbore Nginx. Robí to tak, že porovnáte server_namesmernicu v konfiguračnom súbore s názvom domény, pre ktorú požadujete certifikát.

Ak používate predvolený konfiguračný súbor, /etc/nginx/sites-available/defaultotvorte ho v textovom editore, ako je nanoa nájdite server_namesmernicu. Nahraďte podčiarkovník , _vlastným názvom domény:

nano /etc/nginx/sites-available/default

Po úprave konfiguračného súboru by server_namesmernica mala vyzerať nasledovne. V tomto príklade predpokladám, že vaša doména je example.com a že požadujete certifikát pre example.com a www.example.com.

server_name example.com www.example.com;

Pokračujte overením syntaxe vašich úprav.

nginx -t

Ak je syntax správna, reštartujte Nginx, aby ste mohli použiť novú konfiguráciu. Ak sa vám zobrazia nejaké chybové hlásenia, znova otvorte konfiguračný súbor a skontrolujte prípadné preklepy, potom to skúste znova.

systemctl restart nginx

Získanie certifikátu Let's Encrypt SSL

Nasledujúci príkaz pre vás získa certifikát. Upravte svoju konfiguráciu Nginx, aby ste ju mohli používať, a znova načítajte Nginx.

certbot --nginx -d example.com -d www.example.com

Môžete tiež požiadať o certifikát SSL pre ďalšie domény. Stačí pridať možnosť „ -d“ toľkokrát, koľkokrát chcete.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

V prípade, že chcete certifikát získať iba z Let's Encrypt bez jeho automatickej inštalácie, môžete použiť nasledujúci príkaz. Toto vykoná dočasné zmeny vo vašej konfigurácii Nginx na získanie certifikátu a vráti ich späť po stiahnutí certifikátu.

certbot --nginx certonly -d example.com -d www.example.com

Ak používate Certbot prvýkrát, budete vyzvaní na zadanie e-mailovej adresy a súhlas s podmienkami služby. Táto e-mailová adresa bude použitá na obnovenie a bezpečnostné upozornenia. Po zadaní e-mailovej adresy si Certbot vyžiada certifikát od Let's Encrypt a spustí výzvu na overenie, že ovládate príslušnú doménu.

Ak Certbot dokáže získať certifikát SSL, opýta sa vás, ako chcete nakonfigurovať svoje HTTPSnastavenia. Návštevníkov, ktorí navštívia vašu webovú stránku, môžete buď presmerovať cez nezabezpečené pripojenie, alebo im povoliť prístup cez nezabezpečené pripojenie. Toto by malo byť zvyčajne povolené, pretože zaisťuje, že návštevníci pristupujú iba k verzii vašej webovej lokality chránenej protokolom SSL. Vyberte svoju voľbu a potom stlačte ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Nakoniec Certbot potvrdí, že proces bol úspešný a kde sú uložené vaše certifikáty. Vaše certifikáty sú teraz stiahnuté a nainštalované.

Automatizácia obnovy

Pretože Let's Encrypt je bezplatná certifikačná autorita, certifikáty sú platné iba 90 dní, aby sme povzbudili používateľov k automatizácii procesu obnovy. Certbot sa o obnovu certifikátov postará automaticky. Robí to tak, že beží certbot renewdvakrát denne cez systemd.

Spustením tohto príkazu môžete skontrolovať, či automatické obnovenie funguje.

certbot renew --dry-run

Svoj certifikát môžete kedykoľvek obnoviť aj manuálne spustením nasledujúceho príkazu.

certbot renew

Vylepšená konfigurácia

Vyššie uvedené príkazy získajú a nainštalujú certifikát SSL s konfiguráciou, ktorá je vhodná pre väčšinu prípadov. Ak chcete implementovať pokročilé bezpečnostné opatrenia pre vašu webovú stránku, môžete použiť nasledujúci príkaz na získanie certifikátu.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096Využíva 4096-bitový RSA kľúč namiesto 2048 bitovým kľúčom, ktorý je oveľa bezpečnejšie. Nevýhodou je, že väčší kľúč má za následok miernu réžiu výkonu. Okrem toho staršie prehliadače a zariadenia nemusia podporovať 4096-bitové kľúče RSA.

K --must-staplecertifikátu pridá rozšírenie OCSP Must Staple a nakonfiguruje Nginx na zošívanie OCSP. Toto rozšírenie umožňuje prehliadačom overiť, či váš certifikát nebol zrušený a je možné mu dôverovať. Nie všetky prehliadače však túto funkciu podporujú.